Zum Hauptinhalt springen

8.5. Choice of Signature Primitive (Wahl der Signaturprimitivfunktion)

8.5. Choice of Signature Primitive (Wahl der Signaturprimitivfunktion)

Ed25519 und Ed25519ph haben eine nominelle Stärke von 128 Bit, während Ed448 und Ed448ph eine Stärke von 224 haben. Während die niedrigere Stärke für die absehbare Zukunft ausreicht, bietet die höhere ein gewisses Polster gegen mögliche kryptographische Fortschritte. Beide werden von Quantencomputern in etwa gleichermaßen gebrochen.

Die Varianten Ed25519ph und Ed448ph sind vor-gehasht (prehashed). Das ist vor allem für die Interoperation mit älteren APIs nützlich, da in den meisten Fällen entweder die signierte Datenmenge nicht groß ist oder das Protokoll Digestion besser als bloßes Vorhashen leisten kann (z. B. Baum-Hashing oder Aufteilen der Daten). Das Vorhashen macht die Funktionen zudem erheblich anfälliger für Schwächen der verwendeten Hashfunktionen. DIESE VARIANTEN SOLLEN NICHT verwendet werden.

Ed25519ctx und Ed448 haben Kontexte. Das steht jedoch im Gleichgewicht zu den in Abschnitt 8.3 genannten Problemen mit Kontexten.

Auf der Implementierungsseite ist Ed25519 weit verbreitet und hat viele hochwertige Implementierungen. Die anderen haben deutlich schlechtere Unterstützung.

Zusammenfassend: Reicht ein hohes Sicherheitsniveau von 128 Bit aus, wird die Verwendung von Ed25519 EMPFOHLEN; andernfalls wird Ed448 EMPFOHLEN.

Letztes Update am